Una vulnerabilidad de Firefox se arregla en solo 22 horas

Firefox

Cuando tienes mucha mano de obra, arreglar las vulnerabilidades de seguridad ocurre deprisa. De hecho, a Mozilla le ha llevado solo 22 horas parchear una vulnerabilidad de día cero identificada en Firefox en la competición de hacking Pwn20wn que tuvo lugar la semana pasada. La nueva versión de Firefox 52.0.1, que fue lanzada el viernes, contiene un parche para una falla descubierta por hackers en la competición. El arreglo ha sido confirmado a través de Twitter por Asa Dotzler, el director de participación de Mozilla para Firefox OS, así como Daniel Veditz, el miembro del equipo de seguridad de Mozilla.

Firefox

El bug fue descubierto por el Laboratorio de Investigación de Seguridad Chaitin de China. Los hackers consiguieron escalar privilegios en un exploit durante la competición de hacking combinando el bug con un buffer inicializado en el kernel de Windows. La recompensa para este bug para esta vulnerabilidad en particular era de 30,000 dólares, lo que indicaba que era un tema serio.

En un consejo de seguridad publicado por Mozilla, la compañía marca el flujo de enteros en createImageBitmap() como “crítico”. Dicen que el bug fue arreglado en la versión más nueva desactivando las extensiones experimentales para la API createImageBitmap.

Mozilla afirma también que, dado que la función funciona en la caja de arena de contenido, habría requerido una segunda vulnerabilidad para comprometer el ordenador del usuario. Chaitin usó, en esta instancia, el kernel de Windows.

Muchas vulnerabilidades fueron descubiertas durante la competición de hacking. Hasta ahora, solo unos pocos han sido arreglados, y definitivamente no tan rápido como el que Mozilla ha parcheado en Firefox. Microsoft y Apple son dos de las compañías que la gente quiere oír hablar al respecto.

En total, a los participantes se les ha dado 833,000 dólares por las vulnerabilidades descubiertas este año, casi el doble de lo que se premió el año pasado. En 2016, los premios llegaron a 460,000 dólares y el año anterior, 577,000. Al final, todo depende de cómo de buenos sean los hackers para encontrar algo crítico que aprovechar.